全部產品
Search
文件中心

Elasticsearch:配置執行個體公網或私網訪問白名單

更新時間:Oct 25, 2024

通過公網或私網訪問Elasticsearch(ES)執行個體時,需要先將待訪問裝置的IP地址加入執行個體的訪問白名單中。如果遇到訪問ES失敗的問題,您也可以優先根據本文檢查是否已將正確的IP地址加入到了對應白名單中。

前提條件

已建立Elasticsearch執行個體。具體操作,請參見建立Elasticsearch執行個體

注意事項

  • 通過公網訪問阿里雲ES執行個體,會存在網路安全性較差且網路不穩定的現象。如果您對訪問環境的安全性和網路的穩定性要求較高,建議優先使用專用網路進行私網訪問。

  • Elasticsearch免費提供公網訪問,預設頻寬為5 Gbps。

操作步驟

  1. 登入Elasticsearch控制台
  2. 在左側導覽列,單擊Elasticsearch執行個體
  3. 進入目標執行個體。
    1. 在頂部功能表列處,選擇資源群組和地區。
    2. Elasticsearch執行個體中單擊目標執行個體ID。
  4. 在左側導覽列,選擇配置與管理 > 安全配置

  5. 叢集網路設定地區,單擊VPC私網訪問白名單公網地址訪問白名單右側的修改

    說明

    公網訪問預設關閉,添加公網訪問白名單時,需要先開啟公網訪問開關。

  6. 在修改白名單面板,單擊default分組右側的配置

    說明

    您也可以單擊新增IP白名單分組,在新的白名單分組中添加白名單。詳細資料請參見管理IP白名單分組

  7. 在彈出的對話方塊中,將待訪問裝置的IP地址添加至白名單中。

    建議您根據下表匹配業務情境,並擷取正確的IP地址。

    情境

    需擷取的IP地址

    擷取方式

    通過本地裝置訪問阿里雲ES執行個體。

    本地裝置的公網IP地址。

    說明

    如果您的本地裝置處在家用網路或公司區域網路中,需要添加區域網路的公網出口IP地址。

    在本地裝置的瀏覽器中訪問www.cip.cc,或在本地裝置中執行curl cip.cc

    用戶端通過公網訪問阿里雲ES執行個體。

    用戶端的公網IP地址。

    例如,某ECS與ES執行個體在不同專用網路中,通過該ECS公網訪問ES執行個體時,需要擷取該ECS的公網IP地址。

    以擷取ECS的私網IP地址或公網IP地址為例:

    1. 登入ECS管理主控台

    2. 在左側導覽列單擊執行個體

    3. 在頂部功能表列選擇執行個體所在地區。

    4. 在ECS執行個體列表中查看目標執行個體的公網IP地址或私網IP地址。

    用戶端通過私網訪問阿里雲ES執行個體。

    用戶端的私網IP地址。

    例如,某ECS與ES執行個體在同一專用網路中,通過該ECS私網訪問ES執行個體時,需要擷取該ECS的私網IP地址。

    訪問白名單配置說明:

    • 白名單支援配置IP地址或IP網段,例如192.168.0.1或192.168.0.0/24。

      說明

      白名單為IP網段的形式時,需要添加掩碼計算後子網網段的第一個IP地址。

    • 白名單的IP地址或IP網段數量上限為300個,多個IP地址之間用英文逗號(,)隔開。

    • 如果您的IP地址會隨時變化,建議您配置對應IP網段。

    • 公網地址訪問白名單預設為127.0.0.1,代表禁止所有IPv4地址訪問。

    • VPC私網訪問白名單預設為0.0.0.0/0,代表允許所有私網IPv4地址訪問,從安全形度不建議您配置允許所有IPv4地址訪問。

      說明

      部分版本和地區不支援將IP白名單配置為0.0.0.0/0,實際請以配置頁面提示為準。

    • 僅杭州地區支援配置公網IPv6地址訪問,例如2401:XXXX:1000:24::5或2401:XXXX:1000::/48。

      說明
      • ::1代表禁止所有IPv6地址訪問,::/0代表允許所有IPv6地址訪問,從安全形度不建議您配置允許所有IPv6地址訪問。

      • 部分版本的執行個體不支援將IP白名單配置為::/0,實際請以配置頁面提示為準。

  8. 單擊確認

  9. (可選)在面板右上方單擊image.png表徵圖,返回安全配置頁面,查看VPC私網訪問白名單或公網地址訪問白名單。

    白名單顯示不全時,可以將滑鼠放在IP地址上查看完整的白名單。白名單中出現您添加的IP地址,說明白名單配置成功。白名單配置成功

管理IP白名單分組

以下操作以公網地址訪問白名單為例。

操作

步驟

新增IP白名單分組

  1. 安全配置頁面,單擊公網地址訪問白名單右側的修改

  2. 修改公網訪問白名單面板,單擊新增IP白名單分組

    說明

    系統預設包含default分組,此分組中包含預設配置的白名單。

  3. 在彈出的對話方塊中,輸入IP白名單分組名稱和白名單內IP地址,並單擊確認

查看白名單內的IP地址

安全配置頁面,查看公網地址訪問白名單。

白名單顯示不全時,可以將滑鼠放在IP地址上查看完整的白名單。

修改IP白名單分組

  1. 安全配置頁面,單擊公網地址訪問白名單右側的修改

  2. 修改公網訪問白名單面板,單擊目標IP白名單分組右側的配置

  3. 在彈出的對話方塊中,修改白名單內IP地址,並單擊確認

    說明

    暫不支援修改IP白名單分組名稱

刪除IP白名單分組

  1. 安全配置頁面,單擊公網地址訪問白名單右側的修改

  2. 修改公網訪問白名單面板,單擊目標IP白名單分組右側的刪除

  3. 在彈出的對話方塊中,單擊確認

常見問題

  • Q:配置了白名單,但Elasticsearch依然無法訪問?

    A:可能是白名單配置不正確,請根據上文擷取IP地址的方式,檢查IP地址是否配置正確。您還可以執行curl命令測試ES執行個體是否能正常訪問,請參見訪問Elasticsearch

  • Q:白名單IP地址數量不夠用怎麼辦?

    A:您可以將IP地址合并為IP網段,通過網段的方式減少白名單IP地址的個數。

相關文檔